Sommario
Il gruppo di ricerca Insikt Group di Recorded Future ha identificato una presunta campagna di cyber-spionaggio condotta dal gruppo TAG-100, che ha preso di mira organizzazioni governative e del settore privato a livello globale. TAG-100 ha sfruttato dispositivi esposti a Internet e utilizzato strumenti open-source come la backdoor Go Pantegana.
Scoperte chiave
Compromissione in Dieci Paesi: TAG-100 ha compromesso organizzazioni in almeno dieci paesi tra Africa, Asia, Nord America, Sud America e Oceania.
Strumenti Utilizzati: Il gruppo ha utilizzato backdoor open-source Go come Pantegana e SparkRAT post-exploitation.
Dispositivi Presi di Mira: TAG-100 ha preso di mira vari prodotti esposti a Internet, tra cui Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange, SonicWall, Cisco ASA, Palo Alto Networks GlobalProtect e Fortinet FortiGate.
Sfruttamento di Vulnerabilità: Dopo il rilascio di un exploit PoC per la vulnerabilità del firewall Palo Alto Networks GlobalProtect (CVE-2024-3400), TAG-100 ha condotto attività di ricognizione e tentato di sfruttare questa vulnerabilità contro decine di organizzazioni negli Stati Uniti.
Impatto e implicazioni
L’utilizzo di dispositivi vulnerabili esposti a Internet da parte di TAG-100 è particolarmente preoccupante a causa delle limitate capacità di visibilità e registrazione di questi dispositivi. Questo riduce il rischio di rilevamento post-exploitation e espone le organizzazioni a interruzioni operative, danni reputazionali e multe regolatorie. L’uso di strumenti open-source consente anche agli attori di minacce sponsorizzati dallo stato di esternalizzare le operazioni cyber a gruppi meno capaci, aumentando l’intensità e la frequenza degli attacchi alle reti aziendali.
Misure di Mitigazione
Le organizzazioni dovrebbero:
- Configurare sistemi di rilevamento e prevenzione delle intrusioni per allertare e bloccare indirizzi IP e domini sospetti.
- Assicurare il monitoraggio della sicurezza per tutti i servizi e dispositivi esterni.
- Dare priorità alla patching delle vulnerabilità, specialmente quelle sfruttate attivamente.
- Implementare la segmentazione della rete e l’autenticazione multi-fattore.
- Utilizzare il modulo Recorded Future® Threat Intelligence per rilevare e bloccare infrastrutture malevole in tempo reale.
- Monitorare i risultati in tempo reale per identificare attività di intrusione sospette coinvolgendo fornitori e partner chiave.
- Utilizzare l’analisi del traffico malevolo (MTA) per allertare e monitorare proattivamente l’infrastruttura coinvolta nella comunicazione con indirizzi IP C2 noti di TAG-100.
Prospettive Future
Le attività di TAG-100 evidenziano una minaccia persistente per i dispositivi esposti a Internet, con attori di minacce sia finanziariamente motivati che sponsorizzati dallo stato che probabilmente continueranno a sfruttare queste vulnerabilità. I governi degli Stati Uniti e del Regno Unito stanno lavorando per migliorare la sicurezza, ma i bordi di rete vulnerabili rimangono un rischio significativo.
Per leggere l’analisi completa, clicca qui per scaricare il report in formato PDF.
